時間:2023-11-08 11:03:34
導語:在常見網絡安全問題的撰寫旅程中,學習并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優秀范文,愿這些內容能夠啟發您的創作靈感,引領您探索更多的創作可能。
在社會不斷發展和科學技術水平不斷提升的現階段,計算機技術已經在社會的各個行業領域當中都實現了廣泛的應用,信息網絡是推動社會向前發展的重要力量。對于計算機網絡中的信息系統而言,其與國家政府、企業公司和個人之間都具有十分緊密的聯系,其經過傳輸和處理的信息會涉及到政府宏觀調控、企業資金管理和個人隱私等重要內容,不可避免的會受到數據篡改、信息竊取和計算機病毒等形式的攻擊,計算機犯罪的發生率也呈現出遞增的趨勢,對社會的健康發展構成了嚴重的威脅,基于此,要正確的認識到網絡信息系統中存在的安全問題,并采取有效的應對策略來保證信息的安全性。
1 網絡信息系統中常見的安全問題分析
網絡信息安全所針對的是信息系統的硬件、軟件和數據的安全,保護其不會因偶然或惡意等原因而受到破壞、泄露、更改等,保證系統的穩定可靠運行。然而,從我國網絡信息系統的安全現狀來看,其中還存在著以下幾方面的常見問題:
1.1 網絡信息系統自身存在的問題
網絡信息系統自身所存在的問題主要包括了系統漏洞和移動存儲介質兩方面的問題。對于系統漏洞而言,由于系統自身的風險因素,使得程序處理文件等在時序和同步等方面出現了漏洞,直接導致非法人員獲得了訪問權限。例如將攜帶病毒的U盤插入到計算機當中,而網絡系統中缺少對這些介質的認證和審計等程序,使得信息的安全無法得到保證。
1.2 外部對網絡信息系統的攻擊
計算機病毒侵害是網絡信息系統中最為常見的一種外部攻擊方式,且病毒具有蔓延速度快和影響范圍廣等特點,例如特洛伊木馬程序能夠直接侵入電腦并對其進行破壞,通常被偽裝成工具程序或游戲等,誘使用戶打開攜帶的郵件附件或從網上進行下載,當用戶執行相關操作的同時,這些程序之后就會象古特洛伊人在敵人城外留下的藏滿士兵的木馬一樣留在計算機當中。
1.3 網絡信息系統管理方面的問題
網絡信息系統管理中存在的問題主要表現在違反規章制度和故意泄密這兩方面。由于一些人員對相關的規章制度不熟悉,在工作中出現疏忽等問題,都會造成文件的信息被泄露。故意泄密指的是維護計算機網絡信息系統的工作人員為了謀取利益等故意對系統進行破壞,將文件信息和資料數據向外部提供的行為。
2 網絡信息系統常見安全問題的應對策略
2.1 完善對計算機網絡的物理保護
完善對計算機網絡的物理保護是提高網絡信息系統安全性的首要措施,需要技術維護人員對網絡應用的外部環境凈化,主要包括了以下三方面的內容:
(1)要保證計算機網絡環境的安全性,盡量選擇地質穩定、弱噪音源等環境;
(2)要對網絡應用環境中的空氣濕度和溫度進行必要的調節,控制空氣腐蝕度;
(3)在網絡應用中心的外部要設置防護圈,為其配備必要的防電磁干擾和防雷擊等設備,以此來保證計算機系統的安全穩定運行。
2.2 強化對網絡信息系統的技術保護
2.2.1 防火墻技術
防火墻技術的實質就是實現計算機硬件和軟件的組合運用,在互聯網和內部網之間建立一個安全網關,防止非法用戶的侵入。需要注意的是,并不是全部的網絡用戶都適合安裝防護墻,通常情況下,對于個體網絡安全存在特別要求,以及需要與Internet進行聯網的企業和公司會采取防火墻技術。
2.2.2 數據加密技術
數據加密技術是利用數字方法對數據進行重新組織,對傳輸過程中的數據流進行加密,保護信息數據不會受到合法受者之外人員的查看。當下,最為常見的數據加密技術包括了對稱加密技術和非對稱加密技術,二者的區別在于是否運用同一個密匙進行加密和解密。
2.2.3 入侵檢測技術
入侵檢測技術能夠及時發現計算機網絡信息系統中存在的未授權和異常現象,并對其進行及時報告的技術,主要用于檢測計算機網絡信息系統中是否存在違反安全策略的行為。入侵檢測技術能夠對用戶和系統的活動進行監視和分析,找到合法用戶和非法用戶的越權操作行為;對系統配置的正確性和存在的安全漏洞進行必要的檢測,向管理人員予以提示和報警等。
2.3 增強網絡信息安全產品的合理應用
電子簽證機構是通信系統中的第三方,其中的 CA和PKI產品能夠為不同的服務提供可信任的認證服務。例如,CA能夠向用戶發行電子簽證的證書,為用戶提供成員身份驗證和密鑰管理的實際功能;而PKI產品則可以提供更多的功能和服務,在今后將會成為計算基礎結構的核心部件。另外,信息安全產品還包括了虛擬專用網(VPN)、安全路由器和安全管理中心等。
3 結束語
綜上所述,計算機網絡信息系統的安全防護問題是一項十分復雜且系統的工作內容,其與通信技術、計算機科學、信息安全技術和網絡技術等多學科之間具有十分緊密的聯系。在計算機技術實現不斷發展的現階段,網絡信息系統中常見的安全問題包括了系統自身漏洞、黑客攻擊與威脅、木馬病毒移植和用戶非法操作等,為了對存在的實際問題實現有效的解決,需要重視對硬件和軟件產品的研制,建立完善的管理制度,提高用戶的安全意識以及強化防護技術等,以此來提高網絡信息的安全性,促進社會的健康發展。
隨著校園網絡應用的逐漸深入,特別是校園網絡與互聯網鏈接以后,校園網絡在信息資源上得到了極大的提升,但是網絡信息安全問題也逐漸凸顯,直接影響了學校正常的教學管理以及其他教學活動。而常見的校園網絡安全問題主要表現在以下幾個方面:
(1)計算機系統存在漏洞
目前,我國中小學校園網絡中被普遍使用的操作系統是WIN7。而由于技術發展水平的限制,目前WINDOWS操作系統在服務器、防火墻、TCP/IP協議等方面都存在大量安全漏洞,而且當下應用范圍比較廣泛的360殺毒軟件、騰訊電腦管家等殺毒修復軟件功能也十分有限,對于互聯網這種無限開放的空間環境而言,這些漏洞被越來越多的人發現,并加以利用。這些都為校園網絡的穩定運行帶來了嚴重的影響和威脅。
(2)計算機病毒的破壞
威脅計算機功能運行的最普遍則來自于計算機病毒。可以說對于校園網絡而言,計算機病毒是破壞計算機系統正常運行、破壞系統軟件、損害文件資料、導致網絡效率下降,甚至造成計算機及網絡系統癱瘓的最直接因素。具體來說,計算機病毒主要具有傳播速度快、隱蔽性強、傳染途徑廣、潛伏期長、破壞力大等特點。比如前幾年影響比較惡劣的熊貓燒香病毒,網絡執行官、網絡特工、ARPKILLER、灰鴿子等木馬病毒,使得網絡集體掉線、網絡系統中的游戲賬號、QQ賬號、網上銀行賬號密碼等被泄漏等等,嚴重威脅著中小學校園網絡的正常使用。
(3)互聯網對校園網的非法入侵及破壞威脅
為了最大程度的享有信息資源,提高校園管理、教學水平,基本上所有中小學校園網絡都是與互聯網相連的。這樣就導致了在享有互聯網無限資源的同時,也時刻面臨著來自互聯網中的非法入侵風險。比如最為常見的黑客利用網絡攻擊校園網絡服務器,竊取、篡改或破壞學校重要信息等,給學校日常的教學管理造成巨大危害。
二、完善校園網絡信息安全的對策措施
維護校園網絡安全是一個復雜的系統工程。其往往涉及到網絡用戶、管理以及技術維護等方面的工作內容。因此,本質上講,網絡安全工作是一個循序漸進、不斷完善的過程。根據前人的研究成果,為了切實提高校園網絡的安全性,筆者認為應該從以下幾個方面進行完善:
(1)采用身份認證技術
由于校園網屬于開放性網絡,因此,校園網對用戶的限制很少。這樣就給一些非法入侵者提供了條件。因此,加強校園網絡的安全性,首先我們可以采用身份認證的技術,從用戶限制上提高網絡的安全性。具體來說,身份認知是指通信方設置身份確認來限制非授權用戶的進入。這項技術在高等院校及圖書館等機構中已經得到了普遍盈盈。而常見的身份認證的方法有口令認證法。其是指給系統管理員帳戶設置足夠復雜的強密碼,同時系統管理員的口令不定期的予以更換。
(2)防范系統安全漏洞
在日常的網絡系統維護中,及時的對當前的電腦操作系統進行更新升級,及時安裝各種系統補丁程序以及第三方系統管理軟件,比如常見的360安全衛士、騰訊電腦管家等等,定期的進行系統掃描機漏洞掃描,及時發現安全隱患。這樣才能防止各種計算機病毒入侵網絡,損壞計算機及系統軟件,提高網絡使用的安全性。
(3)加強校園網絡監控
由于中小學師生對網絡安全普遍缺乏正確的認知,在網絡使用過程中也無法有效準確的判斷病毒網站,因此,在加強校園網絡安全意識的宣傳同時,還應該在不影響校園網絡正常運行的前提下,加強對內部網絡的監控范圍和力度,做到最大程度的保護網絡資源信息。具體措施比如配備入侵檢測系統,入侵防御系統,Web、E-mail、BBS的安全監測系統和網絡監聽系統等。一方面,通過監控手段,增強網絡安全的自我適應性和反應能力,及時發現不安全因素,從而保證網絡服務的正常提供。另一方面,通過使用網管軟件、日志分析軟件、MRTG和Sniffer等工具,形成一個功能較完整、覆蓋面較廣的監控管理系統。
關鍵詞: 計算機網絡;網絡安全;安全威脅;防范對策
計算機網絡安全問題無論在生活中還是在工作中,都逐漸成為人們的焦點話題,尤其隨著時代的發展,電腦科技水平也在不斷進步,同時計算機網絡的形式和內容也加大了自身的開放性,形成了網絡信息內容豐富、形式多樣、分布廣泛的特征,同時網絡信息也是面向所有大眾的,這也就使黑客和木馬等惡意軟件有了可乘之機,因此,加強對計算機網絡安全防范措施有著重要的時代意義和現實意義。
1 計算機網絡常見的安全威脅
現如今在計算機使用過程中,有很多方面的因素都會導致安全系統受到威脅,例如網絡自身結構的不合理、對計算機網絡的操作不當、安全意識不強、管理不完善等,這些都有可能給信息的外泄帶來一定程度上的危害,而這些危險也表現在很多方面,隨著網絡開放性的不斷增強,網絡應用系統涉及的領域也更廣泛,因此,計算機網絡常見的安全威脅也表現得多種多樣,具體可以分為以下幾個方面。
1.1 計算機網絡硬件方面的威脅
網絡硬件作為一種生產出來的產品,難免會出現大大小小的問題,據調查顯示,目前在計算機網絡硬件中存有的問題就有九十多種,其中通過路由器產生的問題最多,因為很多遠程用戶沒有經過授權,非法通過路由器對使用者的網絡進行修改、訪問和重啟,更有甚者,使用一些炸彈軟件對路由器進行轟炸,這些都給計算機網絡的使用帶來威脅,很多黑客利用路由器的使用漏洞,把網絡信息轉移到互聯網上其它的服務器中,接著用一些非法手段成立不真實的虛假網站,用它來竊取一些機密的資料和文件,這都是利用計算機硬件的漏洞,鉆了硬件設施保密措施不完善的空子。而現階段的計算機安全防范中,對類似這樣來自硬件方面的威脅來說,還沒有更好的處理方法,需要引起有關部門的重視。
1.2 計算機網絡軟件方面的威脅
1.2.1 來自黑客和惡意軟件方面的威脅。黑客往往利用不法手段對網絡用戶信息進行竊取和使用,黑客使用的工具往往也是多種多樣的,最常見的就是特洛伊木馬,木馬是黑客進行遠程操控的工具,有很強的隱蔽性,一般不易于發現,也不易于準確地確定木馬在計算機中的位置,這些都不利于對木馬的消除和防范,由于木馬本還具有很強的非授權性,它可以通過很多方式進行偽裝,減少被用戶識別出來的概率,這些方法包括把更換圖標、顯示出錯、端口定制、自動銷毀、更換木馬名、與文件進行捆綁等,能過這些方法,都導致很多木馬不易被查出,即使用戶發現了木馬的存在,也不容易對其存在的位置進行準確的定位,而追查和找出這些木馬就更無從入手了,另外,隨著時代的進步,木馬盜取信息的手段也越來越先進,它可以跟隨計算機的運用而運用,然后盜取信息,其中包括辨別竊取來的信息和獲得接受到的信息,然后給予相應的盜取手段,可見,特洛伊木馬等惡意軟件對計算機來說無疑是一個定時炸彈,用戶不易發現也不易察覺的特點使木馬的侵入更加猖狂和肆意。
對于黑客來說,把計算機中投入病毒是好的手段,病毒對計算機中的數據和文件都可以造破壞,同時它可以通過自身的功能在計算機中重新設入另一程序,這就導致一些計算機在遇到病毒之后,用戶對計算機的使用情況在不知不覺中受到了監視,而其中的網絡資源和信息也就很輕易地會被冒用和取代,而通過病毒植入進來的新程序,往往會迅速繁殖,使整個計算機網絡都充滿病毒,最后使網絡不能正常運轉。由此可見,計算機病毒給軟件網絡帶來了巨大的威脅。
1.2.2 垃圾郵件。現如今郵件是人們生活和工作必不可少的使用工具,同時也是人們日常通訊的重要手段,而這些電子郵件的大量使用和終端的開放性都給一些惡意分子可乘之機,使用戶受到不同適度的損失,另外,還有一些黑客能過郵件盜取用戶資料和信息,使用戶的財產安全受到損失,尤其在日常生活中,很多人會收到一些垃圾郵件,往往這些郵件是帶有病毒的,一旦這些病毒郵件被打開,后果往往不堪設想,因為這些垃圾郵件中藏有的病毒會隨著用戶的打開,而迅速蔓延到整個電腦程序,甚至產生信息爆炸的危險,使電腦中的寶貴資料受到攻擊。因此,這些垃圾郵件對整個電腦服務器和電腦文件的損害是非常大的,在計算機的日常使用過程中值得每個用戶的關注和重視。
1.3 網絡信息輸送方面的威脅
1.3.1 數據丟失問題。隨著計算機信息技術的不斷應用,人們對數據和文件的傳送都要依靠網絡來完成,那么在數據傳送的過程中,就有可能出現誤傳或者文件丟失的情況,一方面來看,很多數據由于電腦在操作中受到輻射物的干擾而出現暫的中斷和損壞,這就不利于數據的錄入和傳送,同時,被中斷和干擾的數據很難得到恢復,這就使很多進行在中途的數據傳送工作中斷,而之前的工作都前功盡棄了,給用戶的操作帶來麻煩,尤其在企業單位的工作中,更有可能給企業帶來不同程度的損失。
1.3.2 用戶權限設置問題。一般情況下,對計算機系統的管理是非常嚴格的,尤其在安全性能方面,更是要做到層層把關,不給惡意破壞分子留有余地,在計算機網絡中,管理員擁有最高的權限,而實際操作中,往往會出現一些漏洞,這些漏洞就使一些惡意分子有了可乘之機,趁機潛入到用戶系統中,竊取用戶的賬號和密碼,并能過這些信息獲取用戶的其它資料,或者對其它服務器進行威脅,其中常見的威脅有拒絕服務、物理途徑的泄露和任意執行的錯誤等。
2 對計算機網絡安全威脅的防范措施
由于計算機網絡使用者的廣泛性和開放性,難免會出現很多漏洞,使惡意破壞分子趁虛而入,盜取用戶資料,并利用病毒、木馬、垃圾郵件等多種方式對用戶數據資料進行破壞,面對這些形式多樣的網絡安全問題,個人和企業的信息資料的安全性都受到了威脅,因此,如何采取正確的防范措施保護網絡的安全日益成為人們關注的焦點。
2.1 使用正確的殺毒軟件
殺毒軟件對電腦病毒來說無疑是致命的克星,尤其對于現階段的殺毒軟件來說,它具有很強的智能化特征,可以在無需人工操作的情況下,自行對一些惡意軟件和病毒進行攔截,或者自動彈出提示欄提醒用戶該軟件的不良性,因此,給很多非專業型的計算機使用者一個很好的提醒,方便普通大眾人們的使用,減少了很多病毒的侵害,但是也有很多電腦使用者不重視對殺毒軟件的安裝,認為沒有必要,這就減少了電腦對病毒的抵御能力,降低了計算機的安全系數,在沒有安全保障的情況下運行電腦,無疑使病毒從各個方面都可以對電腦產生威脅,增加了病毒入侵的可能性,因此,安裝殺毒軟件是防范網絡安全威脅最普遍也是最簡單的方式,無論在工作還是在生活中,它都是防止病毒入侵的有利手段。
2.2 文明上網,加強電腦清理工作
電腦在長期的使用過程中,往往會出現很多問題,如果不對其進行及時的處理,可能使問題惡化,最后造成難以處理的后果,因此,無論是個人還是企業單位都要加強電腦的清理工作,定期對電腦進行體檢,使用科學的殺毒軟件對整個電腦的系統進行全盤掃描的盤查,及時發現其中存在的網絡威脅,并給予整治,例如360殺毒軟件、金山殺毒軟件以及現階段出現的各種新型的殺毒系統都可以對一些惡意病毒進行有效盤查和清理,另外,用戶在使用網絡信息時要注意正確、文明上網,對于惡意、不法信息要拒絕接收和察看,尤其對于很多惡意郵件來說,往往在打開程序的時候,這些病毒便自動植入進用戶的電腦中然后迅速繁殖,盜取用戶信息,給用戶的安全造成很大威脅,因此,用戶在使用電腦時要注意科學、文明上網,并且定期使用專業性較強、質量有保證的殺毒系統對電腦進行體檢和清理,這樣才能達到保護電腦和用戶信息安全的目的。
2.3 對重點計算機系統要加強維護
現如今,對計算機系統的防護不只依賴于簡單的殺毒軟件,更有如防火墻等高級的保護措施,對于重點單位如政府、國有企業、國家安全部門等重要的機構組織來說,對網絡信息安全的保護工作就顯得更為重要,一旦這些單位的信息泄露或者被攻擊,那么給企業帶來的危害是不可估量的,因此,一定要加強對這些單位的重點保護,例如加強防火墻的數量,使用多個防火墻進行多重保護,另外,為了從根源上避免給惡意分子趁虛而入的機會,可以使單位的網絡只使用局域網,而不使用互聯網,另外,對網絡的安全管理也要有專業人員負責,同時也要設置特定的工作員進行安全系統的維護,使網絡安全時時有人監督,定期進行排查,這樣就使病毒威脅一旦出現就可以在第一時間被發現和處理,保證了計算機網絡的安全。
3 結束語
長期以來,網絡安全問題都是人們關注的焦點話題,它與人們的生活和工作都息息相關,現如今,面對五花八門的網絡威脅因素,人們更應該增強對網絡安全威脅的防范意識,積極采取措施,加強對網絡安全的保護工作,從使用計算機的方方面面進行保護和管理,從而對網絡安全威脅進行正確、有效的防范。
參考文獻:
[1]汪勝利,魏敬宏電力企業計算機網絡安全保密管理探析[J].電力信息化,2006,4(9).
[2]邱祥陽,談網絡安全的幾個問題[J].科技信息(學術版),2008(27).
[3]高全忠,檔案信息與網絡服務展望[J].浙江檔案,2003(11).
[4]趙志國,加強信息網絡安全保障做好網絡安全應急管理[J].信息網絡安全,2008(5).
[5]聶多均,高校校園網網絡安全問題分析與對策[J].人力資源管理(學術版),2010(4).
[6]李藝、李新明,對網絡安全問題的探討[J].計算機工程與設計,2004,25(7).
一、當前網絡信息面臨的安全威脅
1、軟件本身的脆弱性。各種系統軟件、應用軟件隨著規模不斷擴大,自身也變得愈加復雜,只要有軟件,就有可能存在安全漏洞,如Windows、Unix、XP等操作系統都或多或少的漏洞,即使不斷打補丁和修補漏洞,又會不斷涌現出新的漏洞,使軟件本身帶有脆弱性。
2、協議安全的脆弱性。運行中的計算機都是建立在各種通信協議基礎之上的,但由于互聯網設計的初衷只是很單純的想要實現信息與數據的共享,缺乏對信息安全的構思,同時協議的復雜性、開放性,以及設計時缺少認證與加密的保障,使網絡安全存在先天性的不足。
3、人員因素。由于網絡管理人員和用戶自身管理意識的薄弱,以及用戶在網絡配置時知識與技能的欠缺,造成配制時操作不當,從而導致安全漏洞的出現,使信息安全得不到很好的保障。
4、計算機病毒。當計算機在正常運行時,插入的計算機病毒就像生物病毒一樣,進行自我復制、繁殖,相互傳染,迅速蔓延,導致程序無法正常運行下去,從而使信息安全受到威脅,如 “熊貓燒香病毒”
二、常見網絡攻擊方式
1、網絡鏈路層。MAC地址欺騙:本機的MAC地址被篡改為其他機器的MAC地址。ARP欺騙:篡改IPH和MAC地址之間的映射關系,將數據包發送給了攻擊者的主機而不是正確的主機。
2、網絡層。IP地址欺騙:是通過偽造數據包包頭,使顯示的信息源不是實際的來源,就像這個數據包是從另一臺計算機上發送的。以及淚滴攻擊、ICMP攻擊和 RIP路由欺騙。
3、傳輸層。TCP初始化序號預測:通過預測初始號來偽造TCP數據包。以及TCP端口掃描、land攻擊、TCP會話劫持 、RST和FIN攻擊。
4、應用層。DNS欺騙:域名服務器被攻擊者冒充,并將用戶查詢的IP地址篡改為攻擊者的IP地址,使用戶在上網時看到的是攻擊者的網頁,而不是自己真正想要瀏覽的頁面。以及電子郵件攻擊和緩沖區溢出攻擊。
5、特洛伊木馬。特洛伊木馬病毒是當前較為流行的病毒,和一般病毒相比大有不同,它不會刻意感染其他文件同時也不會自我繁殖,主要通過自身偽裝,從而吸引用戶下載,進而使用戶門戶被病毒施種者打開,達到任意破壞、竊取用戶的文件,更有甚者去操控用戶的機子。
6、拒絕服務攻擊。有兩種表現形式:一是為阻止接收新的請求,逼迫使服務器緩沖區滿;另一種是利用IP地進行欺騙,逼迫服務器對合法用戶的連接進行復位,從而影響用戶的正常連接。
三、網絡安全采取的主要措施
1、防火墻。是網絡安全的第一道門戶,可實現內部網和外部不可信任網絡之間,或者內部網不同網絡安全區域之間的隔離與訪問控制,保證網絡系統及網絡服務的可用性。
2、虛擬專用網技術。一個完整的VPN技術方案包括VPN隧道技術、密碼技術和服務質量保證技術。先建立一個隧道,在數據傳輸時再利用加密技術對其進行加密,使數據的私有性和安全性得到保障。
3、訪問控制技術。是機制與策略的結合,允許對限定資源的授權訪問,同時可保護資源,阻止某些無權訪問資源的用戶進行偶然或惡意的訪問。
4、入侵檢測技術。是指盡最大可能對入侵者企圖控制網絡資源或系統的監視或阻止,是用于檢測系統的完整性、可用性以及機密性等方式的一種安全技術,同時也是一種發現入侵者攻擊以及用戶濫用特權的方法。
5、數據加密技術。目前最常用的有對稱加密和非對稱加密技術。使用數字方法來重新組織數據[2],使得除了合法使用者外,任何其他人想要恢復原先的“消息”是非常困難的。
6、身份認證技術。主要有基于密碼和生物特征的身份認證技術。其實質是被認證方的一些信息,如果不是自己,任何人不能造假。
四、總結
網絡信息安全是一個不斷變化、快速更新的領域,導致人們面對的信息安全問題不斷變化,攻擊者的攻擊手段也層出不窮,所以綜合運用各種安全高效的防護措施是至關重要的。
為了網絡信息的安全,降低黑客入侵的風險,我們必須嚴陣以待,采取各種應對策略,集眾家之所長,相互配合,從而建立起穩固牢靠的網絡安全體系。
1.影響網絡信息安全的主要因素
1.1 導致互聯網脆弱性的原因。
(1)網絡的開放性,網絡的技術是全開放的,使得網絡所面臨的攻擊來自多方面。或是來自物理傳輸線路的攻擊,或是來自對網絡通信協議的攻擊,以及對計算機軟件、硬件的漏洞實施攻擊。
(2)網絡的自由性,大多數的網絡對用戶的使用沒有技術上的約束,用戶可以自由的上網,和獲取各類信息。
1.2 安全管理困難性。
雖然安全事件通常是不分國界的,但是安全管理卻受國家等多種因素的限制。安全管理也非常復雜,經常出現人力投入不足、安全政策不明等現象。擴大到不同國家之間,跨國界的安全事件的追蹤就非常困難。
2.網絡安全的主要技術
2.1 防火墻技術。防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障。它是一種計算機硬件和軟件的結合,使Internet與Intranet之間建立起一個安全網關(Security Gateway),從而保護內部網免受非法用戶的侵入。
2.1.1 網絡安全的屏障。
防火墻可通過過濾不安全的服務而減低風險,極大地提高內部網絡的安全性。由于只有經過選擇并授權允許的應用協議才能通過防火墻,所以網絡環境變得更安全。防火墻可以禁止諸如不安全的NFS協議進出受保護的網絡,使攻擊者不可能利用這些脆弱的協議來攻擊內部網絡。防火墻同時可以保護網絡免受基于路由的攻擊,如IP選項中的源路由攻擊和ICMP重定向路徑。防火墻能夠拒絕所有以上類型攻擊的報文,并將情況及時通知防火墻管理員。
2.1.2 強化網絡安全策略。通過以防火墻為中心的安全方案配置。能將所有安全軟件(如口令、加密、身份認證等)配置在防火墻上。與將網絡安全問題分散到各個主機上相比,防火墻的集中安全管理更經濟。例如,在網絡訪問時,一次一密口令系統和其他的身份認證系統完全可以不必分散在各個主機上而集中在防火墻。
2.2 數據加密技術。
2.2.1 常用的數據加密技術。
目前最常用的加密技術有對稱加密技術和非對稱加密技術。
2.2.2 數據加密技術的含義。
所謂數據加密(Data Encryption)技術是指將一個信息(或稱明文,plain text)經過加密鑰匙(Encryption key)及加密函數轉換,變成無意義的密文(cipher text),而接收方則將此密文經過解密函數、解密鑰匙(Decryption key)還原成明文。加密技術是網絡安全技術的基石。
3.網絡安全具有的功能
3.1 身份識別。
身份識別是安全系統應具備的基本功能,身份識別主要是通過標識和鑒別用戶的身份,防止攻擊者假冒合法用戶獲取訪問權限。對于一般的計算機網絡而言,主要考慮主機和節點的身份認證,至于用戶的身份認證可以由應用系統來實現。
3.2 存取控制。
存取控制規定何種主體對何種客體具有何種操作權力。存取控制是網絡安全理論的重要方面,主要包括人員限制、數據標識、權限控制、類型控制和風險分析。存取控制也是最早采用的安全技術之一,它一般與身份驗證技術一起使用,賦予不同身份的用戶以不同的操作權限,以實現不同安全級別的信息分級管理。
4.常見網絡攻擊方法
4.1 網絡中的安全漏洞無處不在。即便舊的安全漏洞補上了,新的安全漏洞又將不斷涌現。網絡攻擊正是利用這些存在的漏洞和安全缺陷對系統和資源進行攻擊。
第一:搜索
第二:掃描
第三:獲得權限
第四:保持連接
第五:消除痕跡
4.2 網絡攻擊的常見方法。
(1)口令入侵
(2)電子郵件攻擊
(3)木馬程序
(4)漏洞攻擊
5.網絡安全應對策略
(1)使用防火墻軟件
(2)提高網絡安全意識
(3)隱藏自己的IP地址
(4)備份資料
(5)提高警惕
我國面對網絡威脅采取的主要策略:
5.1 完善管理機制。
一個完善的計算機網絡信息系統安全方案至少應該包括以下幾個方面:訪問控制、檢查安全漏洞、攻擊監控、加密、備份和恢復、多層防御、建立必要的管理機制。隨著計算機技術和通信技術的發展,計算機網絡將日益成為工業、農業和國防等方面的重要信息交換手段,滲透到社會生活的各個領域。因此,認清網絡的脆弱性和潛在威脅,采取強有力的安全策略,對于保障網絡的安全性顯得十分重要。同時,計算機網絡技術目前正處于蓬勃發展的階段,新技術層出不窮,其中也不可避免地存在一些漏洞,因此,進行網絡防范要不斷追蹤新技術的應用情況,及時升級、完善自身的防御措施。
5.2 逐步消除網絡安全隱患。
(1)每個人必須對其網絡行為承擔法律和道德責任是規范網絡秩序的一個重要準則。
關鍵詞:網絡;安全;問題;對策
中圖分類號:TP393
隨著計算機網絡在辦公上發揮的作用越來越大,在我國事業單位的辦公在早已起到了不可替代的作用。各級事業單位為了能夠保證計算機網絡的安全穩定的運行,都加強了對計算機網絡的維護,但是網絡安全問題依然影響著正常的辦公,如果不能做好安全防護措施,會給事業單位的政策和經濟上造成嚴重損失,為此如何有效的防止網絡安全問題,做好計算機網絡維護成為了很多單位應當重視的重要問題之一。
1 事業單位計算機網絡維護的重要性
計算機網絡已經在事業單位的日常工作過程中起到了不可替代的作用,在工作中應用網絡進行辦公數據、文件的整理以及傳輸,有利的推進了工作效率的提高。所以網絡運行需要日常的維護和管理,維護水平的高低直接影響到辦公效率。由于在事業單位中,分工比較明確,各級單位都有一定數量的計算機,為了實現資源共享,提高效率,大都組建自己局域網,同時還保留著外網的正常運行。保證好計算機網絡的正常運行才能有利于事業單位更好的工作,為群眾及時處理好各種問題,因此,事關重大。
2 事業單位計算機網絡維護的主要內容
事業單位的計算機網絡維護主要是維護網絡的特性的正常運行和維護網絡設備的正常工作。
2.1 網絡的正常運行。計算機網絡系統之所以能夠廣泛的應用在各領域,這與它的很多特性是分不開的。其主要的特性就是可靠性和保密性。
可靠性,能夠在規定的條件下完成特定的功能,而且在受到一些外部干擾的情況下仍然可以穩定的工作,還能保證信息的完整性。
保密性,網絡信息只有授權用戶才可以有權限使用,這樣能有效的防止信息的泄漏。
事業單位的日常工作中很多的工作都需要在網絡條件下運行,所以在保證好網絡的可靠性和保密性的前提下一定要保證網絡的暢通。
2.2 網絡設備的維護。網絡設備是網絡運行的載體,所有的信息傳遞都是在設備的正常運行條件下才能成功。因此網絡設備的維護也是相當重要的。常見網絡的設備有網橋、網關以及交換機和路由器等設備,保證好這些設備的正運行是日常維護工作的重點工作。
3 維護過程中存在的問題
計算機網絡在維護過程中最大的問題就是網絡安全問題,從威脅上來講主要分為內部因素和外部因素,外部因素包括病毒侵襲和黑客攻擊。內部因素主要就是人為的因素,包括用戶的非法操作和網絡維護管理不到位等。
3.1 計算機病毒。計算機病毒是在正常的計算機系統程序中植入指令、程序代碼等,它能夠隱藏在系統中不易被察覺,損害網絡的某些功能和數據,對計算機網絡的安全危害極大,影響整個系統正常工作。這也是日常中常見的問題,另外在使用中有些員工隨便插拔不安全的U盤拷貝數據也會導致病毒的傳播。
3.2 網絡外的黑客攻擊。對計算機網絡來說,黑客攻擊的危害是最大的。因為黑客如果入侵了網絡可能會非法獲取數據信息,有的可能會更改信息,尤其對政府事業單位來說,作為國家的行政輔助機構,涉及很多政府內部信息,一旦泄露后果無法想象。所以后果最為嚴重,應當嚴防。
3.3 用戶非惡意或惡意的非法操作。由于溝通的需要,網絡設計不可能不留任何接入點,這就給外界進入提供了可能。再加上有些用戶的操作不當可能會破壞數據,還有些是有意的去破壞。所以很多情況下威脅都是來自內部用戶。所以應當加強用戶的網絡安全意識。
3.4 計算機網絡安全管理不到位。有些企業對計算機網絡的管理較為松散,分工有交叉不明確,有些內容容易引起遺漏。一些部門對網絡的使用權限的管理不夠嚴格,信息保密性不好,這些薄弱的信息安全防衛意識對系統的安全性危害更大,很容易讓黑客和病毒進入系統。因此要嚴加防范。
4 主要的解決對策
對于事業單位的計算機網絡存在的問題有了更深的認識我們才能有的放矢的去預防或者處理這些問題,防患于未然才能做到真正的保證網絡的安全。要做好網絡維護需要從以下方面著手。
4.1 真正的熟悉網絡。網絡維護人員要想做好維護工作首先應該對這項工作非常熟悉才行,只有這樣才能知道怎么去發現問題和解決問題,這是基礎。相關人員要做到對網絡知識、計算機的知識以及相關的操作熟記于心,在處理問題中不斷總結經驗。所有的知識點都要求做到融會貫通,提高自己的業務水平,真正的保證好單位的網絡安全。
4.2 加強對安全的管理。作為網絡使用的主體,人是主要因素,因此做好管理成為保證網絡安全的核心問題。所以相關事業單位要做好網絡管理的制度和辦法,要做到切實可行。另外,加強對使用人員的培訓,最好建立應急預案,以免出現問題后手忙腳亂影響工作的進一步展開。
4.3 計算機實體的預防對策。作為計算機網絡機構的基礎,硬件以及基本的通信線路也很容易受到人為或者自然因素的破壞。網絡維護者應當從可能出現問題點去分析,做好電磁屏蔽措施,單位還要做好防雷擊、防止水火的外界不安全因素的干擾,選擇合適的場地,保證計算機網絡設備的正常運行。
4.4 做好網絡病毒預防措施。病毒和黑客是影響網絡安全的主要威脅,尤其是隨著技術的發展,病毒的傳播路徑也變的多樣化,給防護工作帶來很大的困難。因此,預防是主要措施,每個人都應該加強防毒殺毒的意識,不要隨便打開不安全的網站或者郵件,經常性的進行殺毒處理,從自身做起才能有效的去切斷病毒和黑客的入侵。最好對數據進行備份,以防止計算機網絡系統的突發災難。
4.5 網絡層面上的對策。網絡安全最大的威脅還是來自網絡,這最主要的就是控制IP的來源。防火墻的應用很好的保證了網絡的安全。它把局域網和外網分隔開來。實時監控外界和內部信息之間的交流,有效避免了不安全因素的入侵。增加了網絡系統保密性。所以,相關事業單位要合理的去利用防火墻保證網絡的安全。
4.6 加強對數據的保密措施。數據加密能夠有效的防止信息的泄露和外界的破壞,保證信息的安全,因此在實際應用中很受歡迎。常用的數字加密有鏈路、節點以及點對點的加密。數據加密能夠保護數據的安全,即使丟失外界也不會輕易的獲取到內部信息,雖然是比較被動的手段,但是很實用。
另外,很多的有效措施可以更好的保護網絡的安全,比如對使用網絡的用戶有身份驗證,將數據和用戶分成不同等級,只有一定級別的人才能調用重要的數據,這樣就提高了網絡的安全系數。當然,計算機網絡技術的發展很快,還會有更新的技術入侵或者防止入侵。這就需要我們的網絡維護人員要及時的去學習新的知識和技術,只有這樣在發生問題的時候才能有有效的方法去彌補,盡量的減少帶來的損失,保證事業單位的正常工作。
5 總結
計算機網絡的維護十分重要,技術的發展也要求我們保持警惕,堅持預防為主,采用合理措施應對,切實做好事業單位的網絡安全,保證它們的正常工作。
參考文獻:
[1]康會敏.淺談計算機網絡安全與維護[J].科技致富向導,2011,8.
[2]王金光,周子琨.淺談局域網計算機及網絡維護[J].甘肅科技,2008,9.
[3]高希新.淺析計算機網絡安全與日常維護措施[J].中國科技信息,2009,18.
[4]耿明.計算機網絡應用基礎簡介[J].科技風,2010,7.
1.1氣象部門網絡安全的主要防御結構
一般情況下,在氣象網絡中,防火墻是最重要的硬件防御系統之一,根據臺站區域網絡的組成部件設置防火墻,并根據氣象部門業務安全需求采取相應的防控措施。在氣象信息中心,多個硬件防火墻被部署在區域網絡內重要的業務需求范圍內,確保該區域內的氣象觀測業務可順利、安全運行。對于突發網絡故障,可通過查詢網絡日志、查看網絡歷史詢問記錄等處理,從而使網絡恢復正常。同時,網絡入侵檢測系統也是網絡防護的重要手段,可定時對網絡中可能存在的入侵或攻擊進行檢測,查出存在的漏洞、攻擊模式和用戶行為模式的差別等,并對網絡及系統中出現的異常行為作出響應。此外,軟件防護系統也是不容忽視的重要環節,通過防病毒軟件對計算機網絡進行查殺,消除網絡中存在的威脅因素;網絡管理軟件可對連接的網絡設備進行監管,檢測網絡中存在的異常行為,有效防御病毒,從而切實做好氣象網絡安全防御工作。
1.2網絡安全現狀
隨著現代化氣象觀測信息的不斷增多,自動站長期不間斷運行,容易導致網絡負載量大,進而增加了局部網絡病毒木馬入侵的概率,且其對外開放的資源共享端口也容易出現網絡堵塞。此外,內部計算機人員的操作不當、對計算機終端安全意識較差的現象普遍存在,這都對氣象網絡安全造成了嚴重的威脅。
2氣象部門網絡安全中存在的威脅
2.1網絡安全漏洞
漏洞是氣象部門計算機網絡安全的重大隱患之一,主要包括操作系統漏洞和硬件產品漏。大多數的木馬病毒、非法入侵等都是基于計算機網絡中存在的漏洞而對其攻擊的,它是網絡安全的一大威脅。
2.2內部網絡防護措施不完善
氣象計算機網絡屬于獨立局域網,根據其具有的工作特性,需要實時對數據進行快速、便捷的傳遞,但這樣容易引起病毒的直接感染。由于防護措施不完善,如果操作某一個被病毒感染的移動硬盤時,會連帶服務器及其他電腦同時被感染。此時,即便設有防火墻裝置,也阻擋不了網絡內部遭受攻擊。
2.3惡意代碼威脅
需要及時對計算機中安裝的軟件防護殺毒系統升級和補丁修復。隨著網絡技術的發展,病毒的破壞力越來越強。如果沒有及時制止病毒的入侵,則可能會造成計算機徹底被控制或癱瘓。
2.4網絡黑客攻擊
網絡黑客一般為對計算機網絡較為精通的不法分子,他們通過網絡操作系統的漏洞對系統進行攻擊,可導致系統癱瘓或異常。網絡操作系統有多種,常用的為WindowsNT操作系統。因此,該系統已成為網絡黑客的重點攻擊對象。
2.5操作人員的安全意識較差
部分氣象計算機操作人員不具備專業的網絡知識,對于計算機網絡安全了解不足,存在在計算機上下載其他與氣象無關的資源的情況,或通過移動硬盤在局域網內進行各種數據資料的傳輸,這增加了病毒入侵的概率,容易造成數據丟失或泄露。如果將在Internet上使用過的筆記本電腦連接到氣象內部網絡中,也可能會增加氣象網絡病毒入侵的概率。
2.6IP地址沖突
氣象部門內部的計算機經常出現IP地址沖突的現象。1臺或多臺電腦常因測試或其他原因需要臨時修改IP地址,但修改后往往沒有及時改回,進而造成IP沖突無法聯網,這會對氣象觀測數據的傳輸等環節造成影響。
2.7缺乏內部網絡安全技術人員
目前,由于氣象臺站受到資金或其他因素的制約,導致氣象臺站缺乏相關的網絡安全專業技術人員。當出現網絡故障時,基本是由在職的其他工作人員進行維護的,但網絡管理員自身的水平較低,僅可以應付簡單的常見網絡安全故障,對于專業病毒防御、網絡區域設置等關鍵技術的掌握甚少,出現復雜的網絡安全故障無法及時解決,進而影響了臺站的正常、穩定運行。
3改善氣象部門網絡運行環境的措施
3.1加強網絡安全管理
應加強氣象部門全體人員的計算機網絡安全意識,針對重點網絡威脅進行分析,并對其可能造成的影響進行估算,從而使更多的職工關注網絡安全問題;制訂相關的計算機操作和日常網絡應用安全規范準則,使全體職工養成良好的上網和工作習慣;對在職的網絡管理人員進行技能培訓,提高其技能水平,以確保氣象業務在良好的環境中進行;引進復合型人才,加強技術人才隊伍的培養。網絡安全涉及的范圍廣、信息量大,對人才的需求也較大。因此,可通過參加高新技術學習、開展重點問題交流等途徑提高管理人員的業務水平,使他們能擔當起氣象網絡信息安全建設的重任。
3.2科學、合理配置網絡安全系統
關鍵詞:網站;防篡改技術;WEB;動態網頁
中圖分類號:TP399 文獻標識碼:A文章編號:1007-9599 (2011) 14-0000-02
Anti-tampering Technology Application of Government Portal WEB
Li Xuefeng
(Qingyuan Informatization Technology Equipment Office,Qingyuan511515,China)
Abstract:Website WEB government departments,security has become an important part of the building site,the government portal,security system,safety management system should be split from the technical safeguards and security are two aspects to the construction,construction safety management system,including technical management specifications,personnel and organizational structure,emergency response services,security,safety training in four aspects;safety precautions main WEB tamper system construction.
Keywords:Website;Anti-tampering technology;WEB;Dynamic pages
一、前言
隨著互聯網WEB技術的應用發展,網站在信息發展中越來越重要,由于互聯網是個開放的網絡,網站的信息都隨時被查詢、閱讀、下載或轉載。網站內容復制容易,轉載速度快,后果難以預料,網頁如果被篡改,將直接危害該網站的利益,尤其是政府門戶部門的網站,網上的重要新聞、重大方針政策以及法規等具有權威性,一旦被黑客篡改,將嚴重損害政府的形象,破壞群眾對政府部門的信任。如果沒有堅固的安全體系和有效的事件響應能力,無異于將重要信息暴露于外。由此看來,網絡安全問題已成為政府部門網站建設的一項重要內容。
政府部門的網絡安全不是純粹的技術問題,它涉及了一個政府的政治、軍事、經濟等多方面的安全。同時影響網絡安全的因素也是多方面的,如計算機病毒的傳播、黑客的破壞、管理人員的安全防范意識不強等等。因此做好政府門戶網站的安全不是件輕而易舉的事情。
二、建立網站安全管理制度
在管理制度上,加強網絡和信息安全管理等方面的管理制度建設工作,為政府門戶網站的建設、運行、維護和管理提供依據保障,構筑促進電子政務安全發展的環境,形成適用于政府門戶網站安全的需要。我們必須按照管理制度的要求,提高我們保護網絡安全意識,建立一系列安全管理制度。
由于網絡的復雜性,必然導致網絡安全防護的復雜性。“三分技術,七分管理”這句話是對網絡安全非常客觀的描述。任何網絡僅在技術上是做不到完整的安全的。根據管理規范內容的重要程度和安全管理的復雜性特點,安全管理體系應包括技術管理規范、人員與組織結構、應急事件安全響應服務、安全培訓等四個方面的內容。
(一)技術管理規范
面對網絡安全的脆弱性,除在網絡設計上增加安全服務功能,完善系統的安全保密措施外,還要加強網絡的安全管理。如:(1)非、網機器不允許混用。(2)非網機器不允許運行信息,網機器不允許上非網。(3)必須嚴格按照安全等級、安全域劃分,制定相應的安全保密制度。(4)不同安全域、安全等級之間的信息必須通過安全交換系統方可交流。
(二)人員與組織結構
網絡管理員應具有豐富的網絡知識和實際經驗,熟悉本地網絡結構,能夠制定技術實施策略。安全操作員負責安全系統的具體實施。另外,應建立安全專家小組,負責安全問題的重大決策。
(三)應急事件響應
當一個嚴重網絡漏洞出現或重大安全事件發生時,有可能威脅到系統的正常運行時,值班工程師,將會立刻通知系統管理員,并告知補救的措施。在網站出現非正常運行時,值班工程師將立刻到現場,幫助分析問題的原因,在盡可能短的時間內恢復網站正常工作,并做出事故分析報告,并提交上級主管部門。在管理上,從健全規范網絡安全管理機構、培養網絡安全管理人員和制定網絡安全管理制度等方面保障政府門戶網站正常安全運行。
(四)安全培訓
系統管理員是直接和系統打交道的工作者,在整個信息系統維護中的地位非常重要。所以非常有必要給系統管理員進行有效的系統安全培訓,掌握計算機安全的高級知識,了解黑客使用的流行手段,掌握各種主流操作系統上所需的安全策略、各種安全防御工具等技能,并能采取必要的防范措施。從眾多的信息安全事件分析來看,人員的安全意識、系統和網絡管理員的安全技術水平和實際的安全知識直接影響到整個系統安全狀況。而信息系統的全面安全不僅和管理員的安全知識有關,而且和領導的決策、工作環境中每個員工的安全操作等都有關系。建立完善技術培訓體系,使之更貼近實際業務、貼近技術前沿,提高工作人員的安全理論實踐水平和安全意識。
三、建立有效安全技術措施
在技術上,采用多種防范、監控等先進的技術手段,制定各種應急措施,保證政府門戶網站安全可靠地運行。目前常見網站被攻擊事件有SQL注入攻擊和跨站腳本攻擊,其更加有效的狙擊手段是什么呢?主要采取的安全手段:第一,對于SQL注入攻擊:采用對SQL查詢語句中的查詢參數進行過濾;使用類型安全的SQL參數化查詢方式,從根本上解決SQL注入的問題;URL參數類型、數量、范圍限制功能,解決惡意用戶通過地址欄惡意攻擊的問題等,這些手段是控制SQL注入的,還包括其它的一些過濾處理,和其它的對用戶輸入數據的驗證來防止SQL注入攻擊。第二,對于跨站腳本攻擊:在對于不支持HTML的內容直接實行編碼處理的辦法,來從根本上解決跨站問題。而對于支持Html的內容,我們有專門的過濾函數,會對數據進行安全處理,雖然這種方式目前是安全的,但不代表以后也一定是安全的,因為攻擊手段會不斷翻新,過濾函數庫也會不斷更新。另外對于外站訪問和直接訪問也需要做判斷,從一定程度上也可以避免跨站攻擊。近年來,出現了網站WEB防篡改系統(也叫WEB應用防火墻),可使系統修改檢測時間縮小到毫秒級,而且,由于采用的事件觸發技術,系統監測基本不額外占用系統資源。目前主流的網頁防篡改技術主要包括如下三種技術:
(一)外掛掃描技術
外掛掃描技術也叫外掛輪詢技術,是利用一個網頁檢測程序,以輪詢方式讀出要監控的網頁,與真實網頁相比較,來判斷網頁內容的完整性,對于被篡改的網頁進行報警和恢復。采用從外部逐個掃描網頁文件的方式來判斷對網頁的非法修改,采用這種技術一般會有一定的時間間隔,而且網站文件越多,時間間隔越長,不能保證被黑客修改的網頁不被訪問者看到。
(二)核心內嵌技術
核心內嵌技術是將篡改檢測模塊內嵌在Web服務器軟件里,它在每一個網頁流出時都進行完整性檢查,對于篡改網頁進行實時訪問阻斷,并予以報警和恢復。采用核心內嵌技術的防篡改系統,其篡改檢測模塊運行于Web服務器軟件內部,與Web服務器無縫結合。每次Web服務器對外發送網頁時,系統都進行網頁防篡改檢測,從而能夠實時地確保每個網頁的真實性。
(三)事件觸發技術
事件觸發技術是利用操作系統的文件系統接口,在網頁文件的被修改時進行合法性檢查,對于非法操作進行報警和恢復。事件觸發技術是把系統的篡改檢測模塊嵌入到操作系統內核,因此所有的文件非法變更事件都會被事件觸發器無延遲的獲取,該機制完全區別于掃描技術和核心內嵌技術,不需要與備份庫對比分析的繁瑣過程,因此可以做到監控的實時性和系統資源低占用率。是當前比較先進的一種防篡改檢測技術。
四、WEB防篡改三種技術應用比較
傳統的網頁保護技術有基于輪詢檢測檢測技術、內嵌技術、事件觸發機制等,大量實踐表明,輪詢檢測技術檢測效率較低,對服務器負載以及帶寬資源消耗較大,而且不能完全杜絕短時間出現外部訪問到非法篡改后的網站,是第一代網頁防篡改技術,在過去帶寬資源相對不豐富,應用系統對系統應用資源較少的情況下使用,但不能實時對網頁進行恢復,往往比較滯后;隨著技術發展,網站上運行的各類應用逐漸增多,服務器負載將是網頁防篡改技術面臨的最大挑戰,內嵌技術的應用在一定程度上降低了篡改的幾率,但其部署方式較為復雜,加密算法的選擇嚴重影響到了服務器的負載,而且時常會出現大量網頁外部不可訪問的狀況,這屬于第二代監測技術;基于事件觸發機制被大量事實證明是服務器的負載最小的一種檢測技術,簡單,成熟,可靠,已經成為目前最主流的檢測技術,結合事件觸發機制的基于文件過濾驅動級多因子檢測技術是第三代全新防篡改技術,通過文件底層驅動技術從根本上解決了文件檢測的準確度,以及針對子文件夾的保護,程序后臺運行監測程序,一旦發現文件屬性變化,則立即從安全目錄中(不對外提供訪問)加以恢復,效率和安全性都得到了較好的保證,對大中型網站均可以起到很好的保護效果。
五、總結
綜上所述,要搞好政府門戶網站的安全建設,不是輕而易舉的,而是一項復雜的、綜合的、系統的信息安全工程。
參考文獻:
關鍵詞:網絡安全;加密技術;防火墻
中圖分類號:TP
文獻標識碼:A
文章編號:1672-3198(2010)08-0279-01
1 網絡信息安全的涵義
網絡信息安全一般是指網絡信息的機密性(Confidentiality)、完整性(Integrity)、可用性(Availability)及真實性(Authenticity)。網絡信息的機密性是指網絡信息的內容不會被未授權的第三方所知。網絡信息的完整性是指信息在存儲或傳輸時不被修改、破壞,不出現信息包的丟失、亂序等,即不能為未授權的第三方修改。信息的完整性是信息安全的基本要求,破壞信息的完整性是影響信息安全的常用手段。網絡信息的可用性包括對靜態信息的可得到和可操作性及對動態信息內容的可見性。網絡信息的真實性是指信息的可信度,主要是指對信息所有者或發送者的身份的確認。
2 潛在威脅
對計算機信息構成不安全的因素很多,其中包括人為的因素、自然的因素和偶發的因素。其中,人為因素是指一些不法之徒利用計算機網絡存在的漏洞,或者潛入計算機房,盜用計算機系統資源,非法獲取重要數據、篡改系統數據、破壞硬件設備、編制計算機病毒。人為因素是對計算機信息網絡安全威脅最大的因素。計算機網絡不安全因素主要表現在以下幾個方面:
2.1 計算機網絡的脆弱性
互聯網是對全世界都開放的網絡,任何單位或個人都可以在網上方便地傳輸和獲取各種信息,互聯網這種具有開放性、共享性、國際性的特點就對計算機網絡安全提出了挑戰。
2.2 操作系統存在的安全問題
操作系統是作為一個支撐軟件,使得你的程序或別的運用系統在上面正常運行的一個環境。操作系統提供了很多的管理功能,主要是管理系統的軟件資源和硬件資源。操作系統軟件自身的不安全性,系統開發設計的不周而留下的破綻,都給網絡安全留下隱患。
2.3 防火墻的脆弱性
防火墻指的是一個由軟件和硬件設備組合而成、在內網和外網之間、專用網與公共網之間的界面上構造的保護屏障.它是一種計算機硬件和軟件的結合,使Internet 與Intranet 之間建立起一個安全網關(Security Gateway),從而保護內部網免受非法用戶的侵入。但防火墻只能提供網絡的安全性,不能保證網絡的絕對安全,它也難以防范網絡內部的攻擊和病毒的侵犯。并不要指望防火墻靠自身就能夠給予計算機安全。隨著技術的發展,還有一些破解的方法也使得防火墻造成一定隱患。這就是防火墻的局限性。
3 網絡安全應具備的功能
為了能更好地適應信息技術的發展,計算機網絡應用系統必須具備以下功能:
3.1 身份識別
身份識別是安全系統應具備的最基本功能。這是驗證通信雙方身份的有效手段,用戶向其系統請求服務時,要出示自己的身份證明。而系統應具備查驗用戶的身份證明的能力,對于用戶的輸入,能夠明確判別該輸入是否來自合法用戶。
3.2 存取權限控制
其基本任務是防止非法用戶進入系統及防止合法用戶對系統資源的非法使用。在開放系統中,網上資源的使用應制訂一些規定:一是定義哪些用戶可以訪問哪些資源,二是定義可以訪問的用戶各自具備的讀、寫、操作等權限。
3.3 數字簽名
即通過一定的機制如RSA公鑰加密算法等,使信息接收方能夠做出“該信息是來自某一數據源且只可能來自該數據源”的判斷。
3.4 審計追蹤
既通過記錄日志、對一些有關信息統計等手段,使系統在出現安全問題時能夠追查原因。
3.5 密鑰管理
信息加密是保障信息安全的重要途徑,以密文方式在相對安全的信道上傳遞信息,可以讓用戶比較放心地使用網絡,如果密鑰泄露或居心不良者通過積累大量密文而增加密文的破譯機會,都會對通信安全造成威脅。因此,對密鑰的產生、存儲、傳遞和定期更換進行有效地控制而引入密鑰管理機制,對增加網絡的安全性和抗攻擊性也是非常重要的。
4 相關對策
4.1 技術層面對策
對于技術方面,計算機網絡安全技術主要有實時掃描技術、實時監測技術、防火墻、完整性檢驗保護技術、病毒情況分析報告技術和系統安全管理技術。綜合起來,技術層面可以采取以下對策:
(1)建立安全管理制度。提高包括系統管理員和用戶在內的人員的技術素質和職業道德修養。對重要部門和信息,嚴格做好開機查毒,及時備份數據,這是一種簡單有效的方法。
(2)網絡訪問控制。訪問控制是網絡安全防范和保護的主要策略。它的主要任務是保證網絡資源不被非法使用和訪問。它是保證網絡安全最重要的核心策略之一。訪問控制涉及的技術比較廣,包括入網訪問控制、網絡權限控制、目錄級控制以及屬性控制等多種手段。
(3)數據庫的備份與恢復。數據庫的備份與恢復是數據庫管理員維護數據安全性和完整性的重要操作。備份是恢復數據庫最容易和最能防止意外的保證方法。恢復是在意外發生后利用備份來恢復數據的操作。
(4)應用密碼技術。應用密碼技術是信息安全核心技術,密碼手段為信息安全提供了可靠保證。基于密碼的數字簽名和身份認證是當前保證信息完整性的最主要方法之一。
(5)提高網絡反病毒技術能力。通過安裝病毒防火墻,進行實時過濾。對網絡服務器中的文件進行頻繁掃描和監測,在工作站上采用防病毒卡,加強網絡目錄和文件訪問權限的設置。在網絡中,限制只能由服務器才允許執行的文件。
4.2 管理層面對策
計算機網絡的安全管理,包括對計算機用戶的安全教育、建立相應的安全管理機構、不斷完善和加強計算機的管理功能、加強計算機及網絡的立法和執法力度等方面。加強計算機安全管理、加強用戶的法律、法規和道德觀念,提高計算機用戶的安全意識,對防止計算機犯罪、抵制黑客攻擊和防止計算機病毒干擾,是十分重要的措施。
這就要對計算機用戶不斷進行法制教育,包括計算機安全法、計算機犯罪法、保密法、數據保護法等,明確計算機用戶和系統管理人員應履行的權利和義務,自覺遵守合法信息系統原則、合法用戶原則、信息公開原則、信息利用原則和資源限制原則,自覺地和一切違法犯罪的行為作斗爭,維護計算機及網絡系統的安全,維護信息系統的安全。除此之外,還應教育計算機用戶和全體工作人員,應自覺遵守為維護系統安全而建立的一切規章制度,包括人員管理制度、運行維護和管理制度、計算機處理的控制和管理制度、各種資料管理制度、機房保衛管理制度、專機專用和嚴格分工等管理制度。
4.3 物理安全層面對策
要保證計算機網絡系統的安全、可靠,必須保證系統實體有個安全的物理環境條件。這個安全的環境是指機房及其設施,主要包括以下內容:
(1)計算機系統的環境條件。計算機系統的安全環境條件,包括溫度、濕度、空氣潔凈度、腐蝕度、蟲害、振動和沖擊、電氣干擾等方面,都要有具體的要求和嚴格的標準。
(2)機房場地環境的選擇。計算機系統選擇一個合適的安裝場所十分重要。它直接影響到系統的安全性和可靠性。選擇計算機房場地,要注意其外部環境安全性、地質可靠性、場地抗電磁干擾性,避開強振動源和強噪聲源,并避免設在建筑物高層和用水設備的下層或隔壁。還要注意出入口的管理。
(3)機房的安全防護。機房的安全防護是針對環境的物理災害和防止未授權的個人或團體破壞、篡改或盜竊網絡設施、重要數據而采取的安全措施和對策。為做到區域安全,首先,應考慮物理訪問控制來識別訪問用戶的身份,并對其合法性進行驗證;其次,對來訪者必須限定其活動范圍;第三,要在計算機系統中心設備外設多層安全防護圈,以防止非法暴力入侵;第四設備所在的建筑物應具有抵御各種自然災害的設施。
參考文獻
[1]OTHMAR KAYS.網絡安全技術[M].北京:中國水利水電出版社,1998.
[2]霍寶鋒.常見網絡攻擊方法及其對策研究[J].計算機工程,2002,(8):9-11.